Según comunicado de la Oficina del Comisionado de Protección de Datos en Irlanda, está poniendo a prueba la implementación del Reglamento General de Protección de Datos (RGPD), aplicable desde el 25 de mayo de 2.018.
Dicho comunicado afecta a Twitter, Facebook, Google y otras compañías tecnológicas estadounidenses ante esta norma. Estos estudios están siendo liderados por la comisión de datos de Irlanda porque las compañías tienen sedes regionales, según establece para el ámbito de competencia el propio RGPD.
El objetivo del regulador de privacidad irlandés es solucionar las diferencias entre los reguladores de privacidad del bloque europeo.
En este caso, sobre Twitter, estamos ante un procedimiento pionero porque es el primero en el que la comisión de datos de Irlanda ha enviado un proyecto de decisión a sus homólogos para que lo comenten y aporten sus objeciones.
Se trata de una brecha de seguridad que Twitter declaró que solucionó en 2019 que, durante un periodo de más de cuatro años, ha expuesto los tuits privados de algunos usuarios.
La comisión de datos de Irlanda, en su informe anual de 2019, informa que Twitter cumplió su obligación de notificar de forma oportuna la brecha. Recordemos que el RGPD establece la obligatoriedad de comunicar una brecha de seguridad ante la Autoridad de control (que en España es la Agencia Española de Protección de Datos) en un plazo máximo de 72 horas.
Bajo el RGPD de la UE, los reguladores pueden sancionar a las empresas hasta con un 2% de su beneficio anual global por no notificarles una brecha de seguridad en 72 horas, lo que podría elevarse a 69 millones, según el beneficio de Twitter de 2019.
El GDPR de la UE da instrucciones a los reguladores para que tengan en cuenta la gravedad y la duración de la violación, el tipo de información personal en cuestión y otros factores, como que la violación haya sido deliberada o no.
De momento, habrá que esperar al resultado final del caso Twitter, para ver cómo el sistema de competencias compartidas de la UE entre reguladores funciona en la práctica.
En los casos que afectan a varios países, el regulador líder, como el comisionado de datos de Irlanda, envía su proyecto de decisión a los demás, en un plazo de cuatro semanas los demás reguladores, deberán presentar sus objeciones. Asimismo, hay un tiempo adicional para aprobar las modificaciones con base en dichas objeciones.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!